Access List inside & Outside
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

+ Konuyu Cevapla
Toplam 4 sonuçtan 1 ile 4 arasındakiler gösteriliyor.
Access List inside & Outside

merhaba, Resimdeki toplojide 192.168.33.1 bilgisayarının 172.16.16.5 bilgisayarına 80. porttan ulaşmasını istemiyorum [access-list 101 deny tcp host 192.168.33.1 host 172.16.16.5 eq 80 ] komutu ile engelledim imterface fa 0/1 e [ip

  1. #1
    challanger isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Jul 2010
    Bulunduğu yer
    Ankara
    Mesajlar
    176

    Standart Access List inside & Outside

    merhaba,

    Resimdeki toplojide 192.168.33.1 bilgisayarının 172.16.16.5 bilgisayarına 80. porttan ulaşmasını istemiyorum

    [access-list 101 deny tcp host 192.168.33.1 host 172.16.16.5 eq 80 ]


    komutu ile engelledim

    imterface fa 0/1 e [ip access-group 101 OUT/IN ]

    burada in-out farkı tam olarak nedir..router interfaceine göre İN VE OUTolarak bahsettiğimiz kısımlar değişiyormu ?
    Eklenmiş Resim Eklenmiş Resim
    • Dosya tipi: jpg acl.jpg‎ (10.2 KB (Kilobyte), 1026 kez indirilmiştir)

  2. #2
    mely isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Oct 2008
    Bulunduğu yer
    Istanbul
    Mesajlar
    326

    Standart

    in ve out, hangi interface e uygulayacagına göre secilir.

    Şöyle, kendini router gibi düşün,

    senaryo 33.1 den 16.5 e 80 den ulaşmasın. Bu durumda paket nerden geliyo ? 33.1 den geliyor.

    O zaman eğer sen yazdıgın access listi f0/0 a uygulayacak isen " in " secmelisin. Çunku paket sana dogru geliyor.

    Yok ben f0/1 e uygulayacağım dersen bu sefer " out " kullanman gerekir. Çünkü paket senden cıkarken access list uygulanacak.


    Cisco nun tavsiyesi; standart access list ler source a yakın tarafa uygulanır; extended lar ise destinationa yakın tarafa uygulanır. Zaten biraz düşünürsen kullanım kolaylıgı bakımından da böyle olması mantıklıdır.



    Gelelim senin access listine eğer sen sadece

    access-list 101 deny tcp host 192.168.33.1 host 172.16.16.5 eq 80

    bu satırı yazdıysan access listin çalışmaz. Çunku bırak 80 ni hiç bir porttan ulaşamazsın.diğer tüm durumlar explicitly deny dır. Bu sebeple access liste ;

    access-list 101 permit any any

    diye bir satır daha eklersen sadece 80 portundan deny olur, diğer portlardan erişim wardır..


    Kolay gelsin.

  3. #3
    challanger isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Jul 2010
    Bulunduğu yer
    Ankara
    Mesajlar
    176

    Standart

    çok güzel anlatım için çok teşekkür ederim buraya kadar tamam ama
    access-list 101 deny tcp host 192.168.33.1 host 172.16.16.5 eq 80
    access-list 101 permit any any


    komutlarıyla SADECE 33.1 in 16.5 e 80.porttan ulaşmasınımı engelliyoruz(16.5 33.1 e hala ulaşabiliyor) yoksa iki bilgisyar arası 80.port trafiğini TAMAMEN mi engelliyoruz ??
    Konu challanger tarafından (06.10.2010 Saat 20:13 ) değiştirilmiştir.

  4. #4
    mely isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Oct 2008
    Bulunduğu yer
    Istanbul
    Mesajlar
    326

    Standart

    " komutlarıyla SADECE 33.1 in 16.5 e 80.porttan ulaşmasınımı engelliyoruz(16.5 33.1 e hala ulaşabiliyor) "

    kesinlikle dogrudur. Fakat iletişim karşılıkli bir olaydır. Normal de bu access-liste göre 16.5 den 33.1 e ping atıldıgında ping karşı tarafa gider FAKAT geri dönus yaparken access liste takılır. Anlatabildim mi ?

    Sonuc olarak eğer udp paketi gönderiliyorsa herhangi bir geri dönus yoksa access-liste kesinlikle takılmaz.

    iyi çalışmalar..

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok